フィッシングサイトはアカウント情報を盗み出す古典的な手法ですが、この手法はいまだに有効であるどころか、ますます進化して多くのインターネット利用者のアカウント情報をかき集めています。
フィッシングサイトというのは、ECサイトや銀行、証券会社などのアカウント情報を盗み出すために本物そっくりの偽サイトに誘導してアカウント情報入力させるものです。
昔はパッと見ただけで偽物とわかるくらい質の悪いフィッシングサイトが多かったのですが、最近はフィッシングサイトを構築する高機能なツール類が出回り、ある程度知識があればだれでも本物と見分けがつかないフィッシングサイトを構築することができます。
また、二要素認証があれば安心と思いきや、裏で本物のサイトと接続して二要素認証を突破する機能を持つフィッシングサイト生成ツールも出回っているため安心できません。
さらに、生成AIの普及でフィッシングサイトに誘導するメールも巧妙になりつつあります。相変わらず不自然な日本語のメールも届きますが、ときどき本物と見間違えるほどつくりのよいメールが届き驚かされます。今後、フィッシング攻撃はますます巧妙になっていくでしょう。
そのため、フィッシングサイトから自分を守るために、わたしは3つの対策をしています。
- メールソフトの機能でフィッシングメールを遮断する
- 1Passwordのようなパスワードマネージャーを使い偽サイトではパスワード入力しないようにする
- 二要素認証やパスキーを有効化する
フィッシングメールを遮断する
メールソフトの機能でフィッシングメールを遮断するのは基本的な対策ですが、スパムフィルターの機能はメールソフトによって変わります。わたしはProton Mailの有料プラン使っており、メールソフトはPront Mailのデスクトップアプリやスマホアプリを使っています。Proton Mailは6段階のスパフィルタを適用しているため、かなり優秀です。少なくても、わたしの受信トレイに怪しげなメールが届くことは一切ないです。普段からスパムメールやフィッシングメールで受信トレイがあふれている方は、一度Proton Mailの利用を検討してみるのも悪くないでしょう。Proton Mailはプライバシーに配慮したサービスのため、エイリアス機能で自分のメールアドレスを隠すこともでき、おすすめです。
パスワードマネージャーを使う
最近、Apple謹製のパスワードマネージャーを使えるようになり、一般の方にもパスワードマネージャーというものが知られるようになりました。しかし、そういう状況でもパスワードマネージャーを使わずメモ帳にアカウント情報を記録している方が多いようです。わたしの周りでもパスワードマネージャーの使い方が分からない・使うのは面倒という理由で拒絶している方が多くいます。
これは非常に残念に思いますが、このような状況を見ていると証券会社のアカウント情報を盗まれる方が後を絶たないというのも納得できます。
わたしはWindows、macOS、iPhoneなどでパスワードマネージャー使うため、プラットフォームに依存しない1Passwordを愛用しています。1Passwordに限りませんが、パスワードマネージャーを利用するメリットは次のとおりです。
- パスワードを覚える必要がない
- フィッシングサイトではパスワードが自動入力されないので偽サイトと気づく
- 二要素認証やパスキーに対応している
まず、覚えられるようなパスワードは使うべきではありません。パスワードは長く、複雑なものが理想です。パスワードクラックに挑戦したことがある方ならば実感していることですが、8文字以下のパスワードならばブルートフォースで破ることができます。9文字だと厳しくなり、10文字以上になると現実的な時間でパスワードを破ることが難しくなります。
わたしは30文字以上のパスワードを使うことは珍しくないですが、これはパスワードマネージャーを利用しているからできることです。また、1Passwordにはパスワード生成機能もあるので、複雑で長いパスワードでも簡単に生成できます。
また、パスワードマネージャーはWEBブラウザの拡張機能を提供していることが多く、わたしが利用している1Passwordも当然拡張機能が提供されています。この拡張機能はユーザー名やパスワードを自動入力してくれる便利なものなのですが、もしフィッシングサイトにアクセスした場合は自動入力されません。
正規のサイトであれば1Passwordの拡張機能のアイコンをクリックするとアカウント情報を見ることができるのですが、偽サイトの場合は拡張機能のアイコンをクリックしても何も表示されません。これは、1Passwordでアカウント情報を登録する際にURLも登録するからです。そのため、偽のドメインにアクセスした際はURLが一致しないのでパスワードが入力されない、という仕組みです。
基本的にはパスワードマネージャーのブラウザ拡張機能を入れておけば、フィッシングサイトにアクセスしてしまってもアカウント情報を誤って入力し盗まれるという心配はありません。
これは非常に強力な対策なので、是非パスワードマネージャーの導入を検討して欲しいところです。
二要素認証やパスキーを有効化する
二要素認証やパスキーと聞くと難しそうなイメージがありますが、利用するだけならば難しくありません。
そもそも二要素認証とは何でしょうか?実は多くの方が知らずのうちに二要素認証を日常的に利用しています。
二要素認証の「要素」とは3つの要素を指します。最初の要素が「あなたの知識」です。これはパスワードや暗証番号、秘密の質問などが該当します。次の要素が「あなたが所有している物」です。たとえばセキュリティキーやカード、スマホなどが該当します。キャッシュカードも該当します。つまり暗証番号+キャッシュカードという二要素認証で皆さんはATMを利用しているわけです。最後の要素が「あなたの生体情報」です。これは顔や指紋、虹彩や静脈パターンなどが該当します。
これら3つの要素を2つ組み合わせるものが二要素認証と呼ばれるものです(あるいは多要素認証:MFAと呼ばれます)。「二段階認証」とは別物なので注意してください。
パスキーというのは、パスワードを使わない認証方式です。WEBサイトごとに秘密鍵と公開鍵のペアを作成して、事前にIDと公開鍵を登録しておく仕組みです。
二要素認証はある程度セキュリティレベルが高くなることが期待できる一方、パスワードを組み合わせることが多いため、ここが弱点になります。それに対してパスキーは知識ベースの認証ではないため、二要素認証と比較するとセキュリティレベルが高くなります。
ただし、現時点ではパスキーに対応しているWEBサイトは多くありません。
二要素認証やパスキーの使い方ですが、実はパスワードマネージャーの機能に備わっていることが多く、それを利用しない手はありません。本サイトで紹介した1Passwordも二要素認証とパスキーに対応しています。
二要素認証やパスキーに対応しているWEBサイトであれば1分もしないうちに1Passowordを使って有効化できるので、アカウント情報を盗まれる心配をしている方は1Passwordのようなパスワードマネージャーの導入を強くおすすめします。
まとめ
まず、フィッシングメールを受け取らない、これはメールソフトで対策します。SMS経由で送られてくるメッセージは基本的にリンクをクリックしない方がよいです。まずはサポート窓口に連絡してください。
次に、万が一フィッシングサイトにアクセスしてもアカウント情報を入力せず偽サイトだと気付けるようにパスワードマネージャーの導入をおこなってください。パスワードマネージャーを使うと、パスワードを使いまわさない、複雑なパスワードを使う、WEBブラウザ拡張機能で偽サイトでアカウント情報を入力しない、これを徹底できます。
さいごに、可能であれば二要素認証やパスキーを有効化する。アマゾンのような大手サイトではすでにパスキーに対応しています。パスワードマネージャーのWEBブラウザ拡張機能があれば簡単に二要素認証やパスキーを有効化できますので、セキュリティレベルを高めるためにも導入を検討してください。
コメント